Se il dipartimento di giustizia americano riuscisse a trionfare in tribunale, la posta elettronica sicura potrebbe diventare una cosa del passato.
La privacy nel web poggia le proprie basi specialmente sulla capacità delle compagnie telefoniche che offrono il servizio internet di nascondere o per lo meno non svelare le informazioni dei propri utenti, che siano le nostre email oppure dati bancari, a terze parti.
Ma il dipartimento di giustizia americano sta combattendo in tribunale una guerra senza precedenti per ottenere le chiavi in grado di controllare le aziende, ogni volta in cui ne abbia bisogno. Edward Snowden ha già mostrato qual è la vera faccia del governo il quale agisce spudoratamente quando si tratta di farsi dare informazioni riguardo ogni singolo individuo, disintegrando qualsiasi porta si trovi davanti e portando alla luce del sole del materiale rimasto sepolto per tanto tempo. E nel caso in cui il dipartimento di giustizia riuscisse ad ottenere la vittoria in tribunale sarebbe la fine della privacy per tutti i cittadini americani e non solo… non che il governo non spulci già tra i nostri file.
Il caso ebbe inizio quest’estate, quando Lavabit- una compagnia che offriva un servizio di posta elettronica totalmente sicura ed affidabile- si vide recapitare un mandato di comparizione dal dipartimento di giustizia. Il suddetto mandato di perquisizione richiedeva alla compagnia di posta elettronica di fornire la fatturazione e le informazioni di uno dei loro utenti, creduto essere Snowden. Perciò, Lavabit fornì le informazioni richieste. A quel punto, il governo chiese il permesso per installare un dispositivo nei server di Lavabit, che avrebbe consentito al governo di monitorare tutti i metadata, ovvero l’ora e gli indirizzi Email, degli account di ogni singolo utente. Ma Lavabit criptò tutte le informazioni, e l’unico modo per il governo di impossessarsi di queste informazioni furono le chiavi d’accesso private dell’azienda stessa. Queste chiavi non furono impostate per accedere ad un account singolo, ma portarono a rompere un meccanismo crittografico di più 400,000 utenti di Lavabit.
Lavabit si offrì di registrare e mostrare regolarmente le informazioni dell’individuo in questione, ad un prezzo di minimo $2,000, ma si rifiutò assolutamente di cedere le chiavi dell’intero server del sistema. Come affermò ad agosto Ladar Levison, il 32enne fondatore di Lavabit, a Mother Jones, giornale online, “a livello filosofico sono contrario a qualsiasi forma di raccolta dati o violazione della privacy di un’intera base utenti al solo scopo di dirigere un’indagine su una manciata di individui”.
Il governo ottenne un mandato in cui pretendeva che in ogni caso Lavabit dovesse cedere le chiavi delle backdoor. Quando la società si rifiutò, l’azione fu ritenuta come oltraggio al corso della giustizia e fu multata di $5,000 al giorno.
Il rappresentante del governo nell’udienza a porte chiuse sostenne che “non ci sono agenti che sbirciano le informazioni di 400,000 utenti, a nessuno importa tutto ciò”. Il giudice incaricato a presidiare l’udienza ritenne che ciò suonava “ragionevole”.
Lavabit, dunque, fu costretta a cedere le chiavi del server criptato appena prima di chiudere l’attività societaria.
Karl Manheim, professore alla facoltà di legge Loyola in Los Angeles, afferma che la richiesta del governo recapitata a Lavabit è, senza ombra di dubbio, “incostituzionale”.
Dello stesso parere sono il “Electronic Frontier Foundation (EFF) e l’Unione americana per le libertà civili (ACLU)”, entrambi i quali si offrirono volontariamente a presenziare come “amicus curiae” nel caso in questione.
“Questo caso potrebbe stabilire un precedente a dir poco pericoloso per il futuro” afferma Brian Hauss, consulente legale dell’ACLU. “Il governo ci rammenta costantemente dell’importanza della “Cyber-sicurezza”. Affermare ciò ed eseguire certi ordini legali che vanno ad intaccare le basi di tale sicurezza suona quantomeno paradossale”.
Vediamo in dettaglio quali sono le basi di tale sicurezza: qualsiasi azienda operante nel campo della tecnologia e che offra un servizio di privacy e sicurezza online utilizza il sistema di crittaggio SSL, ovvero il Secure Sockets Layer. Quest’ultimo protegge le informazioni e si assicura che le comunicazioni non vengano intercettate da terze parti. Le aziende utilizzano “chiavi di criptaggio” di varie lunghezze allo scopo di proteggere le loro criptazioni. C’è bisogno di un dispendio enorme di tempo, soldi e competenza per raggirare e crackkare i vari livelli di sicurezza di una società, ma se quest’ultima porgesse semplicemente le “chiavi di criptaggio” il più è fatto e sarebbe un gioco da ragazzi leggere quasi tutto sul sito, incluso il contenuto dei messaggi. “Si potrebbe anche decodificare le informazioni persino mesi o addirittura anni dopo l’accaduto” precisa Matthew Green, professore all’Università John Hopkins ed esperto nel campo della decodificazione. Con le chiavi delle backdoor di Lavabit in mano, il governo statunitense potrebbe leggere la posta in arrivo di tutti gli utenti di Lavabit. “Non appena il precedente è fissato, cosa potrebbe mai fermarli dal fare lo stesso ad altre compagnie/aziende? Fin dove si spingerà il governo?” si chiede Green.
Snowden sostenne che l’NSA è in grado di infrangere svariati livelli di sicurezza ed ha già sfruttato una backdoor per decodificare gli strati di criptaggio di Google e Yahoo, ottenendo, pertanto, l’accesso ai messaggi e contenuti che passano attraverso i motori di ricerca senza alcun bisogno di chiavi di decodificazione. Il governo continua a pressare le compagnie Hi-Tech per impossessarsi delle chiavi delle backdoor, ma Google e Microsoft continuano a sostenere che ciò “non s’ha da fare”. Dunque, la privacy online potrebbe essere già a rischio, considerata l’attività che conduce l’NSA. Nonostante ciò, Hauss afferma che se il dipartimento di giustizia americano riuscisse a passarla liscia in tribunale e a vincere la causa contro Lavabit, l’NSA avrebbe il controllo totale delle attività di non solo Lavabit, ma anche di tante altre aziende che operano attraverso Internet. “Come se non bastasse” aggiunge Hauss “il tutto consentirebbe all’NSA di infrangere legalmente tutte le regole vigenti online, e per giunta le aziende che offrono servizi di sicurezza e privacy sarebbero costrette a collaborare in questa strategia di sorveglianza”.
L’EFF asserisce che la richiesta del dipartimento di giustizia è una violazione del Quarto Emendamento. Ed aggiunge inoltre che è chiaramente appropriato per il governo richiedere informazioni specifiche da un provider di servizio internet in quanto sarebbe l’equivalente di un mandato, ma ottenendo le chiavi dell’intero sistema il governo si garantirebbe l’accesso a “migliaia o forse milioni di utenti che non sono l’obiettivo di nessunissima indagine criminale”. Nelle proprie direttive, l’ACLU definisce la richiesta una “ingiustizia opprimente”, sostenendo un’altra volta ancora che un’azienda non dovrebbe essere costretta ad andare contro ciò in cui crede e frantumare un intero business per il solo scopo di ottemperare ad una richiesta del governo.
Nel caso in cui Lavabit dovesse perdere la causa, l’azienda potrebbe usufruire dell’opzione di presentare una mozione alla Corte Suprema. Inoltre, se in fondo Lavabit non dovesse trionfare, tutte le aziende Hi-Tech saranno costrette a trovare una nuova procedura di criptaggio e non solo. Esse stanno già guardando al futuro. Google ha iniziato ad usare ciò che viene definito come “Perfect Forward security” all’interno della maggior parte delle proprie comunicazioni. Il suddetto sistema genera nuove chiavi backdoor ogni qualvolta un individuo esegue il log-in, il che significa che non esiste nessuna “Master key” in grado di infrangere gli strati di sicurezza che proteggono gli account degli utenti. Per di più, Lavabit si è già adoperata per iniziare un progetto chiamato “Dark Mail Alliance” usufruendo di un ulteriore provider protetto, ovvero il Silent Circle, il quale ha seguito le indicazioni dettate da Lavabit ed ha serrato completamente le proprie porte all’NSA durante un tentativo di decodificazione effettuato da quest’ultimo. Il nuovo servizio non fa affidamento su una “Master key” e mira a rendere la vita a dir quanto impossibile all’NSA. Non c’è nemmeno bisogno di immaginare come reagirà il governo se Lavabit e Silent Circle dovessero riuscire nell’impresa di portare a compimento tale servizio.
“Tutti dicono che dobbiamo abbandonare i nostri sforzi. Non c’è null’altro che possiamo fare per proteggere noi stessi e la nostra privacy” afferma Phil Zimmermann, fondatore di Silent Circle. Ma Phil suppone che inventarsi un nuovo metodo in grado di garantire un servizio di posta elettronica sicuro potrebbe cambiare totalmente il nostro modo di pensiero riguardo all’argomento. “Se li combatti in tribunale potresti anche perdere. Ma se dovessi farlo cambiando l’intera struttura di criptaggio, beh, ciò ci darebbe un enorme vantaggio.”
Verrebbe proprio da dire “Lasciate ogne speranza, voi ch’intrate“.
Nessun campo trovato.
